- Početak
- /
- Članak
Mrežni i bezbednosni zahtevi za rešenje dedicated Instance su slojeviti pristup funkcijama i funkcionalnostima koji obezbede bezbedan fizički pristup, mrežu, krajnje tačke i Cisco UC aplikacija. On opisuje mrežne zahteve i navodi adrese, portove i protokole koji se koriste za povezivanje krajnjih tačaka sa uslugama.
Zahtevi mreže za namensku instancu
Webex Calling Dedicated Instance je deo portfolia Cisco oblak Calling, koji koristi tehnologija saradnje Cisco Unified Communications Manager (Cisco Unified CM). Namenska instanca nudi rešenja za glas, video, razmenu poruka i mobilnost sa funkcijama i prednostima Aplikacija Cisco IP telefona, mobilnih uređaja i klijenata za radnu površinu koja se bezbedno povezuju sa namenskim instancama.
Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy servera koji žele da koriste namensku instancu u okviru svoje organizacije.
Преглед безбе Bezbednost u slojevima
Namenska instanca koristi slojeviti pristup radi zaštite. Slojevi uključuju:
-
Fizički pristup
-
Mreža
-
Krajnje tačke
-
UC aplikacije
Sledeći odeljci opisuju slojeve bezbednosti u primenama namenske instance.
Fizička bezbednost
Važno je da obezbedite fizičku bezbednost za Equinix Meet-Me lokacije i objekte Cisco Dedicated Instance Data Center. Kada je fizička bezbednost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja na prekidače kupca. Zahvaljujući fizičkom pristupu, napadači mogu da dobiju pristup uređajima servera, resetuju lozinke i dobiju pristup prekidačima. Fizički pristup takođe olakšauje sofisticiranije napade kao što su napadi muškaraca u sredini, zbog čega je drugi nivo bezbednosti, bezbednost mreže, kritičan.
Disk jedinice za samostalno šifrovanje koriste se u centrima podataka namenske instance koji hostuju UC aplikacije.
Više informacija o opštim bezbednosnim praksama potražite u dokumentaciji na sledećoj lokaciji: Https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html je.
Bezbednost mreže
Partneri moraju da osiguraju da su svi mrežni elementi zaštićeni u infrastrukturi namenske instance (koja se povezuje putem usluge Equinix). Odgovornost partnera je da osigura bezbednost najbolje prakse kao što su:
-
Odvojite VLAN za glas i podatke
-
Omogućite bezbednost porta koja ograničava broj MAC dozvoljenih adresa po portu, u zavisnosti od poplava u CAM tabeli
-
IP izvornu stražu protiv presnimenih IP adresa
-
Dinamička ARP inspekcija (DAI) ispita protokol rešavanja adrese (ARP) i gratitivni ARP (GARP) za kršenja (u zavisnosti od ARP spofrovanja)
-
802.1x ograničava pristup mreži za potvrdu identiteta uređaja na dodeljenim VLAN mrežama (telefoni podržavaju 802.1x)
-
Konfiguracija kvaliteta usluge (QoS) za odgovarajuće označavanje glasovnih paketa
-
Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja
Bezbednost krajnjih tastanci
Krajnje tačke kompanije Cisco podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje (izabrani modeli), sertifikat proizvođača instaliran (MIC) i potpisane konfiguracione datoteke, koje pružaju određeni nivo bezbednosti za krajnje tačke.
Osim toga, partner ili klijent mogu da omoguće dodatnu bezbednost, kao što su:
-
Šifruj IP telefon usluge (putem HTTPS-a) za usluge kao što su Extension Mobility
-
Izdajte lokalno značajne sertifikate (LSC)iz funkcija proksija sertifikacionog tela (CAPF) ili javnog autoriteta za izdavanje sertifikata (CA)
-
Šifruj datoteke konfiguracije
-
Šifrovanje medija i signaliziranje
-
Onemogućite ova podešavanja ako se ne koriste: PC priključak, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings, SSH, konzola
Implementacija bezbednosnih mehanizama u rešenju Dedicated Instance sprečava krađu identiteta telefona i Unified CM server, netačnost podataka i označavanje poziva/ medija.
Namenska instanca preko mreže:
-
Uspostavlja i održava tok potvrde identiteta komunikacije
-
Digitalno potpisujte datoteke pre nego što je prenesete na telefon
-
Šifruje strimovanja medija i signaliziranje poziva između Cisco Unified IP telefona
Podrazumevana bezbednost obezbeđuje sledeće automatske bezbednosne funkcije za Cisco Unified IP telefona:
-
Potpisivanje datoteka konfiguracija telefona podataka
-
Podrška za konfiguracija telefona za šifrovanje datoteka
-
HTTPS sa Tomcat-om i drugim veb-uslugama (MIDlets)
Za Unified CM izdanje 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanje klijenta liste pouzdanih sertifikata (CTL).
Usluga potvrde pouzdanostiPošto postoji veliki broj telefona na mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM deluje kao udaljeno skladište pouzdanosti putem usluge pouzdanosti (TVS) tako da skladište pouzdanih sertifikata ne mora da se postavi na svaki telefon. Cisco IP telefoni kontaktiraju TVS serveru za potvrdu jer ne mogu da potvrde potpis ili sertifikat putem CTL ili ITL datoteka. Imati centralno skladište pouzdanosti je lakše upravljati nego imati skladište pouzdanosti na svakoj Cisco Unified IP telefon.
TVS omogućava Cisco Unified IP telefonima da potvrde identitet servera aplikacije, kao što su EM usluge, direktorijum i MIDlet, tokom HTTPS uspostavljanja.
Početna lista poverenjaDatoteka početne pouzdane liste (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da oslanjaju Cisco Unified CM. ITL ne zahteva nikakve bezbednosne funkcije da bi se izričito omogućio. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ Unified CM Trivial File Transfer Protocol (TFTP) servera koristi se za potpisivanje ITL datoteke.
Kada se Cisco Unified CM na serveru koji nisu bezbedni režim, ITL datoteka se preuzima na svim podržanim Cisco IP telefon. Partner može da prikaže sadržaj ITL datoteke CLI komanda administratoru:show itl.
Cisco IP telefonima je potrebna ITL datoteka da bi obavili sledeće zadatke:
-
Bezbedno komunicirajte CAPF, što je preduslov za podršku datoteka sa konfiguracijom šifrovanju
-
Potvrda identiteta datoteka sa konfiguracijom potpisa
-
Potvrdite identitet servera aplikacija, kao što su EM usluge, direktorijum i MIDlet tokom httpS uspostavljanja pomoću TVS
Potvrda identiteta za uređaj, datoteku i signaliziranje oslanja se na kreiranje datoteke liste pouzdanih sertifikata (CTL) koja se kreira kada partner ili kupac instalira i konfiguriše Klijent za pouzdane Cisco sertifikate.
Ova CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:
-
Bezbednosni token administratora sistema (SAST)
-
Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru
-
Certificate Authority proxy funkcije (CAPF)
-
TFTP server(i)
-
ASA zaštitni zid
Tabela CTL datoteka sadrži sertifikat servera, javni ključ, serijski broj, potpis, ime izdaoca, ime predmeta, funkcije servera, ime DNS i IP adresa za svaki server.
Bezbednost telefona CTL pruža sledeće funkcije:
-
Potvrda identiteta TFTP preuzetih datoteka (konfiguracija, lokalni standard, lista zvona itd.) pomoću ključa za prijavljivanje
-
Šifrovanje datoteka TFTP konfiguracije pomoću ključa za potpisivanje
-
Šifrovano signaliziranje poziva za IP telefone
-
Šifrovani audio pozivi (mediji) za IP telefone
Namenska instanca obezbeđuje registraciju krajnje tačke i obrada poziva. Signaliziranje između Cisco Unified CM i krajnjih tačina zasniva se na bezbednom kontrolni protokol tankog klijenta (SCCP) Session Initiation Protocol (SIP) i može se šifrovati pomoću bezbednost transportnog sloja (TLS). Mediji sa/do krajnjih tastana zasnivaju se na Protokolu prenosa u realnom vremenu (RTP) i takođe se mogu šifrovani pomoću funkcije Secure RTP (SRTP).
Omogućavanje mešovitog režima na Unified CM omogućava šifrovanje signaliziranja i medijski saobraćaj sa Krajnjih tačci kompanije Cisco i do njih.
Bezbedne UC aplikacije
Omogućavanje mešovitog režima u namensku instancuMešoviti režim je podrazumevano omogućeno namenske instance.
Omogućavanje mešovitog režima u namenskim instancama omogućava mogućnost izvršavanja šifrovanja signaliziranja i medijski saobraćaj od Cisco krajnjih tačci i do njih.
U Cisco Unified CM izdanju 12.5(1), nova opcija za omogućavanje šifrovanja signaliziranja i medija zasnovanih na SIP OAuth umesto mešovitog režima /CTL dodata je za Jabber i Webex klijente. Stoga u Unified CM izdanju 12.5(1), SIP OAuth i SRTP mogu da se koriste za omogućavanje šifrovanja za signaliziranje i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan da se u budućem izdanju doda podrška za SIP OAuth u 7800/8800 krajnjim tačkama.
Bezbednost govornih porukaCisco Unity Connection se povezuje sa Unified CM kroz TLS priključak. Kada bezbednosni režim uređaja nije bezbedan, Cisco Unity Connection se povezuje Unified CM kroz SCCP priključak.
Da bi konfigurisati bezbednost za Unified CM portove za razmenu glasovnih poruka i Cisco Unity uređaje koji rade SCCP ili Cisco Unity Connection uređaje koji SCCP, partner može da izabere bezbedan režim bezbednosti uređaja za port. Ako odaberete potvrdu identiteta priključak za govornu poštu, otvara se TLS koja potvrđuje identitet uređaja korišćenjem međusobne razmene sertifikata (svaki uređaj prihvata sertifikat drugog uređaja). Ako odaberete šifrovanu priključak za govornu poštu, sistem prvo potvrđuje identitet uređaja, a zatim šalje šifrovana strimovanja glasa između uređaja.
Za više informacija o bezbednosnim portovima za glasovne poruke pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Bezbednost za SRST, Magistrale, mrežne prolaze, CUBE/SBC
Mrežni prolaz Cisco Unified omogućeni mrežni prolaz Cisco Unified udaljene lokacije (SRST) obezbeđuje ograničene zadatke obrade poziva ako Cisco Unified CM namenska instanca ne može da dovrši poziv.
Bezbedni SRST mrežni prolazi sa omogućenom opcijom sadrže samostalno potpisan sertifikat. Nakon što partner obavi SRST zadatke Unified CM Administration, Unified CM koristi vezu TLS za potvrdu identiteta sa uslugom dobavljača sertifikata u prolaz sa omogućenim SRST-om. Unified CM zatim preuzima sertifikat iz prolaz sa omogućenim SRST-om i dodaje sertifikat u Unified CM bazu podataka.
Nakon što partner resetuju zavisne uređaje u Unified CM Administration, server TFTP dodaje prolaz sa omogućenim SRST-om sertifikat u datoteku cnf.xml telefona i šalje datoteku telefonu. Bezbedni telefon zatim koristi TLS vezu za interakciju sa prolaz sa omogućenim SRST-om.
Preporučuje se da imate bezbedne magistrale za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prelazeći kroz Cisco Unified Border Element (CUBE).
SIP prenosnika mogu da podržavaju bezbedne pozive i za signaliziranje, kao i za medije; TLS obezbeđuje šifrovanje signaliziranjem i SRTP obezbeđuje šifrovanje medija.
Obezbeđivanje komunikacija između Cisco Unified CM i KOCKE
Za bezbednu komunikaciju između Cisco Unified CM i KOCKE, partneri/klijenti moraju da koriste sertifikate samostalno potpisan sertifikat ili sertifikate potpisane sa CA.
Za samopotpisane sertifikate:
-
CUBE i Cisco Unified CM generišu samopotpisane sertifikate
-
CUBE izvozi sertifikat u Cisco Unified CM
-
Cisco Unified CM izvoz sertifikata na KOCKU
Za sertifikate sa potpisom CA:
-
Klijent generiše par ključeva i šalje zahtev za potpisivanje sertifikata (CSR) na adresu Certificate Authority (CA)
-
CA ga potpisuje svojim privatnim ključem, kreirajući sertifikat identiteta
-
Klijent instalira listu pouzdanih CA vrhovnih i privremenih sertifikata i sertifikata identiteta
Bezbednost za udaljene krajnje tačke
Sa mobilnim i Remote Access (MRA) krajnjim tačkama, signaliziranje i mediji se uvek šifruju između MRA krajnjih tačina i Expressway čvorova. Ako se protokol interaktivnog povezivanja uspostavljanja (ICE) koristi za MRA krajnje tačke, signaliziranje i šifrovanje medija krajnjih tačaka MRA. Međutim, šifrovanje signaliziranja i medija između servera Expressway-C i internih Unified CM servera, internih krajnjih tačci ili drugih internih uređaja zahteva mešoviti režim ili drugi SIP OAuth.
Cisco Expressway obezbeđuje bezbednu podršku za prelaženje zaštitnog zida i bočnu podršku za Unified CM registracije. Unified CM obezbeđuje kontrola poziva za mobilne i za u objektu krajnje tačke. Signaliziranje prelazi Expressway rešenje između udaljene krajnje tačke i Unified CM. Mediji prelaze preko Expressway rešenja i direktno se prenose između krajnjih tački. Svi mediji su šifrovani između mrežnog prolaza Expressway-C i mobilne krajnje tačke.
Za bilo koje MRA rešenje su potrebni Expressway i Unified CM softverski klijenti kompatibilni sa MRA i/ili fiksnim krajnjim tačkama. Rešenje opcionalno može da uključuje IM i usluga prisustva i Unity Connection.
Rezime protokola
Sledeća tabela prikazuje protokole i povezane usluge koje se koriste u Unified CM rešenju.
Protokol |
Bezbednost |
Usluga |
---|---|---|
SIP |
TLS |
Uspostavljanje sesije: Registrujte se, pozovite itd. |
HTTPS |
TLS |
Prijavljivanje, obezbeđivanje/konfiguracija, Direktorijum, Vizuelna govorna pošta |
Mediji |
SRTP |
Media: Audio, video, deljenje sadržaja |
XMPP |
TLS |
Razmena trenutnih poruka, prisustvo, federacija |
Više informacija o MRA konfiguraciji potražite u članku: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opcije konfiguracije
Namenska instanca omogućava partneru fleksibilnost da prilagodi usluge za krajnje korisnike putem potpune kontrole dve konfiguracije dana. Zbog toga je partner samoodgovoran za odgovarajuću konfiguraciju usluge namenske instance krajnji korisnik okruženju korisnika. To uključuje, ali nije ograničeno na:
-
Izbor bezbednih/nebezbednih poziva, bezbednih/nebezbednih protokola kao što su SIP/sSIP, http/https itd. i razumevanje bilo kakvih povezanih rizika.
-
Za sve MAC adrese koje nisu konfigurisane kao bezbedne SIP u rešenju Dedicated Instance, napadač može da pošalje poruku SIP Registrujte se pomoću te MAC adresa i moći će da upućuje SIP pozive, što bi rezultiralo prevarom sa naplatom poziva. Preduslov je da napadač može da registruje svoj SIP uređaj/softver u namensku instancu bez ovlašćenja ako zna MAC adresa uređaja registrovanog u namenoj instanci.
-
Smernice za pozive Expressway-E, transformisanje i pretraga treba da budu konfigurisana da bi se sprečila prevara sa naplatom poziva. Za više informacija o sprečavanju prevare putem usluge Expressway pogledajte odeljak bezbednosti za Expressway C i Expressway-E odeljka Collaboration SRND.
-
Konfiguracija plana biranja kako bi se obezbedilo da korisnici mogu da biraju samo odredišta koja su dozvoljena, npr. zabranjuje nacionalno/međunarodno biranje, da se hitni pozivi pravilno usmeravaju itd. Više informacija o primeni ograničenja pomoću plana biranja potražite u odeljku "Plan biranja" usluge Collaboration SRND.
Zahtevi sertifikata za bezbedne veze u namensku instancu
Cisco će za namensku instancu obezbediti domen i potpisati sve sertifikate za UC aplikacije koristeći javni Certificate Authority (CA).
Namenska instanca – brojevi portova i protokoli
U sledećim tabelama opisani su portovi i protokoli koji su podržani u namensku instancu. Portovi koji se koriste za datog kupca zavise od primene i rešenja kupca. Protokoli zavise od željenih opcija kupca (SCCP u poređenju SIP), postojećih u objektu uređaja i nivoa bezbednosti da bi se utvrdilo koji portovi će se koristiti pri svakoj primeni.
Namenska instanca ne dozvoljava prevođenje mrežne adrese (NAT) između krajnjih tačci Unified CM jer neke od funkcija toka poziva neće funkcionisati, na primer, funkcija tokom poziva. |
Namenska instanca – portovi kupca
Portovi dostupni kupcima – između stavki kupca u objektu i namenske instance prikazane su u tabeli "Portovi kupca namenske instance 1 ". Svi dole navedeni portovi su za saobraćaj kupca koji preleće peering veze.
SNMP port je podrazumevano otvoren da bi Cisco Emergency Responder podržao njegovu funkcionalnost. Pošto ne podržavamo partnere ili klijente koji nadgledaju UC aplikacije raspoređene u oblaku rešenja Dedicated Instance, ne dozvoljavamo otvaranje porta SNMP za bilo koju drugu UC aplikaciju. |
Portovi u opsegu 5063 do 5080 rezervišu Cisco za druge integracije, partnere ili administratore kupaca preporučuje se da ne koriste ove portove u njihovim konfiguracijama. |
Protokol |
TCP/UDP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UC aplikacije
|
Više od 1023 |
22 |
Administracija |
||
TFTP |
UDP |
Krajnja tačka |
Unified CM |
Više od 1023 |
69 |
Zastarela podrška krajnje tačke |
||
LDAP |
TCP |
UC aplikacije |
Spoljni direktorijum |
Više od 1023 |
389 |
Sinhronizacija direktorijuma sa funkcijom LDAP |
||
HTTPS |
TCP |
Pregledač |
UC aplikacije |
Više od 1023 |
443 |
Veb-pristup za Self-Care i administrativne interfejse |
||
Odlazna pošta (SECURE) |
TCP |
UC aplikacija |
CUCxn |
Više od 1023 |
587 |
Koristi se za sastavljanje i slanje bezbednih poruka bilo kom naznačenom primaocu |
||
LDAP (BEZBEDNO) |
TCP |
UC aplikacije |
Spoljni direktorijum |
Više od 1023 |
636 |
Sinhronizacija direktorijuma sa funkcijom LDAP |
||
H323 |
TCP |
Mrežni prolaz |
Unified CM |
Više od 1023 |
1720 |
Signaliziranje poziva |
||
H323 |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
1720 |
Signaliziranje poziva |
||
SCCP |
TCP |
Krajnja tačka |
Unified CM, CUCxn |
Više od 1023 |
2000 |
Signaliziranje poziva |
||
SCCP |
TCP |
Unified CM |
Unified CM, mrežni prolaz |
Više od 1023 |
2000 |
Signaliziranje poziva |
||
MGCP |
UDP |
Mrežni prolaz |
Mrežni prolaz |
Više od 1023 |
2427 |
Signaliziranje poziva |
||
MGCP Backhaul |
TCP |
Mrežni prolaz |
Unified CM |
Više od 1023 |
2428 |
Signaliziranje poziva |
||
SCCP (BEZBEDNO) |
TCP |
Krajnja tačka |
Unified CM, CUCxn |
Više od 1023 |
2443 |
Signaliziranje poziva |
||
SCCP (BEZBEDNO) |
TCP |
Unified CM |
Unified CM, mrežni prolaz |
Više od 1023 |
2443 |
Signaliziranje poziva |
||
Potvrda pouzdanosti |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
2445 |
Pružanje usluge potvrde pouzdanosti krajnjim tačkama |
||
CTI |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
2748 |
Veza između CTI aplikacija (JTAPI/TSP) i CTIManager |
||
Bezbedna CTI |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
2749 |
Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManager |
||
LDAP globalni katalog |
TCP |
UC aplikacije |
Spoljni direktorijum |
Više od 1023 |
3268 |
Sinhronizacija direktorijuma sa funkcijom LDAP |
||
LDAP globalni katalog |
TCP |
UC aplikacije |
Spoljni direktorijum |
Više od 1023 |
3269 |
Sinhronizacija direktorijuma sa funkcijom LDAP |
||
CAPF usluge |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
3804 |
Certificate Authority proxy funkcije (CAPF) port za osluškivanje porta za izdavanje lokalno značajnih sertifikata (LSC) na IP telefone |
||
SIP |
TCP |
Krajnja tačka |
Unified CM, CUCxn |
Više od 1023 |
5060 |
Signaliziranje poziva |
||
SIP |
TCP |
Unified CM |
Unified CM, mrežni prolaz |
Više od 1023 |
5060 |
Signaliziranje poziva |
||
SIP (BEZBEDNO) |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
5061 |
Signaliziranje poziva |
||
SIP (BEZBEDNO) |
TCP |
Unified CM |
Unified CM, mrežni prolaz |
Više od 1023 |
5061 |
Signaliziranje poziva |
||
SIP (OAUTH) |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
5090 |
Signaliziranje poziva |
||
XMPP |
TCP |
Jabber klijent |
Cisco IM&P |
Više od 1023 |
5222 |
Razmena trenutnih poruka i prisustvo |
||
HTTP |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
6970 |
Preuzimanje konfiguracije i slika na krajnje tačke |
||
HTTPS |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
6971 |
Preuzimanje konfiguracije i slika na krajnje tačke |
||
HTTPS |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
6972 |
Preuzimanje konfiguracije i slika na krajnje tačke |
||
HTTP |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7080 |
Obaveštenja o govornoj pošti |
||
HTTPS |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7443 |
Bezbedna obaveštenja o glasovnoj pošti |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
7501 |
Koristi ih Intercluster Lookup Service (ILS) za potvrdu identiteta zasnovanu na sertifikatu |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
7502 |
Koristi ih ILS za potvrdu identiteta zasnovanu na lozinki |
||
IMAP |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7993 |
IMAP preko TLS |
||
HTTP |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
8080 |
Podrška URI zastarele krajnje tačke |
||
HTTPS |
TCP |
Pregledač, krajnja tačka |
UC aplikacije |
Više od 1023 |
8443 |
Veb-pristup za self-Care i administrativne interfejse, UDS |
||
HTTPS |
TCP |
Telefon |
Unified CM |
Više od 1023 |
9443 |
Pretraga kontakata sa potvrđenim identitetom |
||
HTT-ovi |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
9444 |
Funkcija upravljanja slušalicom |
||
Bezbedni RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) – muzika na čekanju, Anunciator, Most softverske konferencije (otvoreno na osnovu signaliziranja poziva) |
||
Bezbedni RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) – muzika na čekanju, Anunciator, Most softverske konferencije (otvoreno na osnovu signaliziranja poziva) |
||
KOBRA |
TCP |
Klijent |
CUCxn |
Više od 1023 |
20532 |
Napravite rezervnu kopije i vratite paket aplikacije |
||
ICMP |
ICMP |
Krajnja tačka |
UC aplikacije |
n. p. |
n. p. |
Ping |
||
ICMP |
ICMP |
UC aplikacije |
Krajnja tačka |
n. p. |
n. p. |
Ping |
||
DNS | UDP i TCP |
DNS prosleđivanja |
Serveri namenske DNS instance |
Više od 1023 |
53 |
Lokalno DNS korisnika prosleđivanja na Dedicated Instance DNS serverima. Više DNS za više informacija. |
||
* Određeni posebni slučajevi mogu da koriste veći opseg. |
Namenska instanca – OTT portovi
Kupci i partneri za podešavanje mobilnog uređaja Remote Access (MRA) mogu da koriste sledeći port:
Protokol |
TCP/UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha |
---|---|---|---|---|---|---|
OBEZBEDI RTP/RTCP |
UDP |
Expressway C |
Klijent |
Više od 1023 |
36000-59999 |
Bezbedni mediji za MRA i B2B pozive |
Međuoplane SIP stablo između multitenanta i dedicated Instance (samo za prenosnik zasnovan na registraciji)
Sledeća lista portova mora da bude dozvoljena na zaštitnom zidu kupca da bi se SIP stablo povezali između multitenanta i namenske instance.
Protokol |
TCP/UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling za više korisnika |
Klijent |
Više od 1023 |
8000-48198 |
Mediji od Webex Calling više korisnika |
Namenska instanca – UCCX portovi
Klijenti i partneri mogu da koriste sledeću listu portova za konfigurisanje UCCX-a.
Protokol |
TCP / UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UCCX |
Više od 1023 |
22 |
SFTP i SSH |
Informix |
TCP |
Klijent ili server |
UCCX |
Više od 1023 |
1504 |
Port baze podataka contact Center Express |
SIP |
UDP i TCP |
SIP GW ili MCRP server |
UCCX |
Više od 1023 |
5065 |
Komunikacija sa udaljenim GW i MCRP čvorovima |
XMPP |
TCP |
Klijent |
UCCX |
Više od 1023 |
5223 |
Bezbedna XMPP vezu između Finesse servera i prilagođenih aplikacija trećih strana |
CVD |
TCP |
Klijent |
UCCX |
Više od 1023 |
6999 |
Uređivač u CCX aplikacije |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
7443 |
Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8080 |
Klijenti za izveštavanje uživo povezuju se na priključak. IO server |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8081 |
Pregledač klijenta pokušava da pristupi Cisco Unified Intelligence Center veb interfejs |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8443 |
Administratorski grafički interfejs, RTCP, DB pristup preko SOAP |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8444 |
Cisco Unified Intelligence Center veb interfejs |
HTTPS |
TCP |
Pregledač i REST klijenti |
UCCX |
Više od 1023 |
8445 |
Bezbedan port za Finesse |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8447 |
HTTPS - Unified Intelligence Center pomoć na mreži |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8553 |
Komponente za jedinstveno prijavljivanje (SSO) pristupaju ovom interfejsu da bi se stekle operativnog statusa Cisco IdS-a. |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
9080 |
Klijenti koji pokušavaju da pristupe HTTP okidaču ili dokumentima / upitima / gramatici /podaci uživo. |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
9443 |
Bezbedan port koji se koristi za odgovaranje klijentima koji pokušavaju da pristupe HTTPS okidačima |
TCP |
TCP |
Klijent |
UCCX |
Više od 1023 |
12014 |
Ovo je port na kom klijenti za izveštavanje o podacima uživo mogu da se povežu na priključak. IO server |
TCP |
TCP |
Klijent |
UCCX |
Više od 1023 |
12015 |
Ovo je port na kom klijenti za izveštavanje o podacima uživo mogu da se povežu na priključak. IO server |
CTI |
TCP |
Klijent |
UCCX |
Više od 1023 |
12028 |
Nezavisni klijent CTI CCX |
RTP(medij) |
TCP |
Krajnja tačka |
UCCX |
Više od 1023 |
Više od 1023 |
Port za medije se dinamički otvara po potrebi |
RTP(medij) |
TCP |
Klijent |
Krajnja tačka |
Više od 1023 |
Više od 1023 |
Port za medije se dinamički otvara po potrebi |
Bezbednost klijenta
Obezbeđivanje usluge Jabber i Webex SIP OAuth
Jabber i Webex klijenti se potvrđuju putem OAuth tokena umesto lokalno značajan sertifikat (LSC), što ne zahteva omogućavanje funkcija proksija sertifikacionog tela (CAPF) (i za MRA). SIP OAuth koji radi sa ili bez mešovitog režima uveden je u verziji Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
U Cisco Unified CM 12.5 imamo novu opciju u profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći jedan bezbednost transportnog sloja (TLS) + OAuth token u SIP REGISTER. Expressway-C čvorovi koriste administrativnu XML veb-uslugu (AXL) API kako bi obavestili Cisco Unified CM O SN-u/SAN u svom sertifikatu. Cisco Unified CM ove informacije koriste za proveru valjanosti Exp-C sertifikata prilikom uspostavljanja međusobne TLS veze.
SIP OAuth omogućava medijsko i signalizaciono šifrovanje bez sertifikata krajnje tačke (LSC).
Cisco Jabber koristi e-merne portove i bezbedne portove 6971 i 6972 portove putem HTTPS veze sa TFTP serverom za preuzimanje datoteka za konfiguraciju. Port 6970 je nesigurni port za preuzimanje putem HTTP-a.
Više detalja SIP OAuth konfiguraciji: SIP OAuth režim.
DNS zahtevi
Za dedicated Instance Cisco obezbeđuje FQDN za uslugu u svakom regionu u sledećem formatu<customer><region>. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.</region></customer>
Vrednost "kupca" obezbeđuje administrator kao deo usluge čarobnjak za prvo podešavanje (FTSW). Više informacija potražite u aktivaciji usluge Dedicated Instance.
DNS evidencije za ovaj FQDN moraju biti razrešene iz internih DNS server kupca da bi se podržali lokalni uređaji koji se povezuju sa namensku instancu. Da bi olakšao rezoluciju, klijent mora da konfiguriše uslovni prosleđivanje za ovaj FQDN u svom DNS server upućujući na uslugu Dedicated Instance DNS usluzi. Usluga Dedicated Instance DNS je regionalna i može se dostići putem ravnopravne mreže na dedicated Instance koristeći sledeće IP adrese navedene u donjoj tabeli Dedicated Instance i DNS adresu usluge IP.
Region/DC | Adresa usluge DNS namenske IP adresu |
Primer uslovnog prosleđivanja |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
Evropska unija |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
GREH |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com</customer> | |
MEL |
178.215.128.100 |
|
SID |
178.215.128.228 |
Opcija ping je onemogućena za gore pomenute DNS server IP adresama iz bezbednosnih razloga. |
Dok se uslovno prosleđivanje ne pokrene, uređaji neće moći da se registruju u namensku instancu iz interne mreže kupaca putem peering veza. Za registraciju putem mobilnog uređaja i usluge Remote Access (MRA) nije potrebno uslovno prosleđivanje, jer će cisco unapred obezbediti sve potrebne spoljne evidencije za DNS MRA.
Kada koristite Webex aplikaciju kao softverski klijent za pozivanje u namensku instancu, profil za UC Manager treba da se konfiguriše na platformi Control Hub za domen glasovne usluge svakog regiona (VSD). Više informacija potražite u profilima za UC Manager Cisco Webex Control Hub. Webex aplikacija će moći automatski da reši Expressway Edge kupca bez krajnji korisnik intervencije.
Domen glasovne usluge će se dostaviti kupcu kao deo dokumenta o pristupu partnera kada se dovrši aktivacija usluge. |
Koristi lokalni ruter za rezoluciju DNS telefona
Za telefone koji nemaju pristup korporativnim DNS serverima, moguće je da koristite lokalni Cisco ruter za prosleđivanje DNS zahteve na cloud DNS dedicated Instance. Ovo uklanja potrebe za primenu lokalne DNS server i pruža punu DNS uključujući keširanje.
Primer konfiguracije :
!
ip dns server
ip name-server <DI dns="" server="" ip="" dc1=""> <DI DNS Server IP DC2></DI>
!
Iskorišćenost DNS u ovoj model instalacije specifična za telefone i može se koristiti samo za rešavanje FQDN-ova sa domenom iz namenske instance kupaca. |
Reference
-
Cisco Collaboration 12.x rešenja referentna mreža dizajna (SRND), bezbednosna tema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
uputstvo za bezbednost za Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html